Am Donnerstag, den 25.11.2004, 15:50 +0100 schrieb Andreas Burkhardt:
Hallole,
gegeben sei der Fall (hach, klingt das schön), dass auf dem Rechner 10.20.30.41 'ssh' läuft. Ein Angreifer würde aber normalerweise einen Rechner nach dem anderen durchprobieren. Vorher also 10.20.30.40 oder 10.20.30.42 auf 'ssh' testen.
Man ahnt es schon, ich würde gerne diesen "Angriff" erkennen und noch schnell 'ssh' auf 10.20.30.41 für die entsprechende Quelle verbieten. Wobei nach einer gewissen Zeit die Quelle wieder erlaubt werden sollte.
'snort' und ähnliche Tools erkennen zwar Angriffe, aber außer mitschreiben oder Meldung verschicken haben die (anscheinend) keine anderen Möglichkeiten.
Gesehen habe ich mal ein Script, das /var/log/secure belauscht und dann entsprechend handelt. Das wirkt aber nicht sehr ästhetisch auf mich.
Hi Andreas, ich würde für diesen Fall, denke ich, den guten alten Logsurfer bemühen um dynamisch auf solche Dinge reagieren zu können. Wird nur eine kleine Bastelaufgabe die Regeln wieder zu entfernen, aber das sollte auch kein Problem darstellen. Gruß Daniel P.S.: Sicherheit hat nichts mit Ästhetik zu tun ;-) -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com